Настройка AD FS

Шаги, необходимые для настройки двухфакторной аутентификации в AD FS

Двухфакторная аутентификация для бизнеса Контур.ID

Попробовать бесплатно

Установка адаптера

1. Перейдите на Windows Server с настроенным AD FS.
2. Скачайте адаптер из кабинета администратора на Windows Server.
3. Запустите файл «installScript.ps1».

После установки в AD FS станет доступен новый способ проверки двухфакторной аутентификации.

Выбор способа проверки

1. Перейдите в «Server Manager» и нажмите «Tools» → «AD FS Management».

   

2. В меню выберите «Service» → «Authentication Methods» и нажмите «Edit Multi-factor Authentication Methods...».

   

3. На вкладке «Addditional» выберите «Kontur.ID ADFS adapter».

   

4. Нажмите «Apply» → «OK»

Выбор приложения

1. В левом меню выберите «Service» → «Relying Party Trusts». 
2. Выберите  приложение для настройки двухфакторной аутентификации в открывшемся окне.
3. В правом окне нажмите «Edit Access Control Policy» или правой кнопкой мыши по приложению.

   

4. Выберите вариант, предполагающий запрос «MFA».

   Как правило, достаточно выбрать «Permit everyone and require MFA».

   

5. Нажмите «Apply» → «OK».

Настройка двухфакторной аутентификации завершена.

Обновление AD FS

Перед началом обновления сделайте резервную копию текущих настроек. Это обеспечит возможность быстро вернуться к исходным параметрам при необходимости.

Процедура обновления AD FS включает следующие шаги:

1. В кабинете администратора скачайте актуальный адаптер. Это может быть новая конфигурация или существующая, которую вы хотите обновить.

2. Проверьте технические требования. Перед обновлением адаптера убедитесь, что установлены следующие компоненты:

   1. Версия Exchange Server 2013 и выше.
   2. Microsoft.NET Framework 4.8 и выше.
3. Остановите службу адаптера, чтобы избежать конфликтов при обновлении.

4. Замените файлы. Для этого распакуйте скачанный архив и замените все файлы в директории адаптера новыми, кроме файла appsettings.json, который содержит ваши текущие настройки.

5. После замены файлов запустите службу адаптера.

Таким образом, вы обновите AD FS и при этом сохраните текущие настройки.

Дополнительные возможности

 Регистрация пользователей и многодоменность

В сервисе реализована возможность подставлять почту из Active Directory в форму регистрации для пользователей, которые пытаются войти через AD FS.

Включенная надстройка на домен	Без надстройки на домен

Чтобы включить надстройку, перед установкой нужно в файле «appsettings.json» добавить строчку с доменом:

"AdDomains": [ "domain" ]

Если к вашему ресурсу подключены несколько доменов, можно указать их все для корректной регистрации пользователей. Для этого добавьте строчку:

"AdDomains": [ "domain1", "domain2", "domain3" ]

В итоге файл «appsettings.json» может выглядеть так:

Один домен:

{
  // Другие настройки
  "AdDomains": [ "kontur.id" ]
}

Многодоменность:

{
  // Другие настройки
  "AdDomains": [ "kontur.id", "kontur.diadoc", "kontur.extern" ]
}

Если зарегистрированный пользователь входит в систему с другим логином или доменом, то такой пользователь не будет проходить повторную регистрацию — сработает авторегистрация.

Для отключения авторегистрации добавьте строчку:

"AutoRegistrationEnabled": false

Настройка имеет два значения:

• true — авторегистрация включена, настроена по умолчанию.
• false — авторегистрация выключена.

В итоге файл appsettings.json с отключенной авторегистрацией может выглядеть так:

Один домен:

{
  // Другие настройки
  "AdDomains": [ "kontur.id" ]
}

Многодоменность:

{
  // Другие настройки
  "AdDomains": [ "kontur.id", "kontur.diadoc", "kontur.extern" ]
}

Устранение неполадок